본문 바로가기
etc

'Putty'툴에 악성 기능 내장시켜 변조하는 악성코드

by (주)엠플 2015. 6. 2.

최근 국내에서 악성 기능이 포함되도록 변조된 ‘Putty’툴이 발견됐다.

 

Putty툴은 원격 컴퓨터 접속 프로그램이다.

 

이번에 발견된 변조된 Putty툴에는 트로이목마(Trojan) 기능을 내장, 원격접속을 위해 사용된 인증 정보, 즉 서버의 로그인 명과 패스워드를 공격자에게 전송하는 것이 특징이다. 변조된 Putty를 통해 원격 시스템을 접속하는 과정을 패킷분석툴로 확인해봤다.

 

[그림 1]과 같이 특정 URL에 연결하기 위해 IP 주소를 확인하는 DNS 트래픽을 확인할 수 있다. 연결을 시도하는 ng***o-u*.ru는 C&C로 의심되며 현재는 IP 확인과 URL 접속은 되지 않는다.

 

 


[그림 1] C&C IP 확인 및 연결시도 실패

 

 

버전 확인을 통한 변조된 Putty.exe 확인

 


A. 방법 : Putty.exe를 실행하여 [About] 클릭

 


[그림 2] Putty  버전 확인

 

 

B. 변조된 Putty.exe는 릴리즈 버전이 [Unidentified build]로 확인된다.

 


[그림 3] 정상 Putty(좌)/ 변조된 Putty(우)


사용자는 Putty ​ 실행 시 주의가 필요하다.

안랩의 V3 제품군에서는 관련 악성코드를 Trojan/Win32.Modputty(2015.05.21.04)로 진단하고 있다.

 

출처: 안철수연구소 http://shop.ahnlab.com/jump/jsp/fp/main.jsp?1=1&NVKWD=%EC%95%88%EC%B2%A0%EC%88%98%EC%97%B0%EA%B5%AC%EC%86%8C&NVADKWD=%EC%95%88%EC%B2%A0%EC%88%98%EC%97%B0%EA%B5%AC%EC%86%8C&NVAR=PL&NVADID=52086196+0wu0002F%5FzLjEz0200jp

댓글